Google durcit le ton avec Android 17. La prochaine version de l'OS mobile va empêcher les applications non certifiées d'accéder aux services d'accessibilité, une API très puissante et régulièrement détournée par les malwares pour espionner les utilisateurs et vider des comptes bancaires.

Ce qui change avec Android 17

La nouveauté est apparue dans la Beta 2 d'Android 17, repérée la semaine dernière. Quand le mode Advanced Protection est activé, le système bloque automatiquement l'accès à l'API AccessibilityService pour toutes les apps qui ne sont pas de vrais outils d'accessibilité.

Seules les applications qui portent le marqueur technique isAccessibilityTool restent autorisées : lecteurs d'écran, outils de saisie vocale, systèmes d'entrée par contacteur et applications braille.

Les autres, et la liste est longue, sont mises de côté : antivirus, outils d'automatisation, assistants, nettoyeurs système, gestionnaires de mots de passe et lanceurs alternatifs.

Et si une de ces apps avait déjà l'autorisation, Android 17 la révoque automatiquement au moment où le mode Advanced Protection est activé. L'utilisateur ne peut pas non plus forcer l'accès manuellement tant que la protection est active.

Pourquoi c'est un vrai sujet ?

L'API AccessibilityService est l'une des plus sensibles d'Android. Elle permet de lire le contenu de l'écran, d'intercepter les frappes clavier, de cliquer sur des boutons à la place de l'utilisateur et d'accorder des autorisations sans que personne ne s'en rende compte.

Les malwares bancaires l'exploitent depuis des années pour voler des identifiants et vider des comptes. Google a longtemps fermé les yeux sur le problème, ou en tout cas laissé la porte grande ouverte. Avec ce mode, c'est un peu le retour à la raison.

Le mode Advanced Protection, lancé avec Android 16, regroupe aussi d'autres verrous : blocage du sideloading (l'installation d'apps en dehors du Play Store), restriction des transferts de données par USB et scan obligatoire via Google Play Protect.

Android 17 ajoute donc cette brique supplémentaire sur l'accessibilité. Côté développeurs, Google met à disposition une API AdvancedProtectionManager qui permet aux apps de détecter si le mode est actif et d'adapter leur comportement en conséquence.

On ne va pas se mentir, quand on utilise un iPhone, ce genre de problème ne se pose pas vraiment puisque iOS a toujours été bien plus restrictif sur ce que les apps peuvent faire en arrière-plan. Mais pour les utilisateurs Android, c'est une avancée qui était attendue depuis un moment. Le revers de la médaille, c'est que des apps tout à fait légitimes vont se retrouver bloquées.

Un émulateur de Dynamic Island comme dynamicSpot ne fonctionne plus avec le mode activé, et c'est le genre de petite frustration qui risque de pousser pas mal de monde à désactiver la protection. On espère que Google trouvera un juste milieu entre la sécurité et la flexibilité qui fait la force d'Android, en tout cas pour le moment ce n'est pas encore tout à fait ça.

Source : The Hacker News

Le démarchage téléphonique, on n'en peut plus !! Y'a bien Bloctel qui devait régler le problème... sauf que notre téléphone continue de sonner 3 fois par jour avec des histoires de CPF ou de panneaux solaires. Pas ouf quoi... Du coup, un enquêteur en fraude connu du web a décidé de créer sa propre appli Android pour raccrocher automatiquement au nez de ces FDP de spammeurs.

WinCalls , c'est le nom de la bête. Vous l'installez sur votre smartphone, vous activez la protection, et tadaaa, l'appli détecte les coups de fil de démarchage et raccroche toute seule avant même que votre téléphone ait le temps de sonner. Y'a même pas de notif, c'est clean ! Le spammeur parle dans le vide et vous, vous continuez votre vie peinard.

Le truc cool, c'est le bonhomme derrière. Centho , c'est un enquêteur spécialisé dans la fraude, qui traque les arnaqueurs au quotidien parce que c'est littéralement son métier, du coup forcément, il sait comment les démarcheurs fonctionnent et comment leur couper le sifflet.

Bon, vous allez me dire qu'Android a déjà un filtre anti-spam intégré. C'est vrai. Et sur les Pixel, il peut même bloquer les démarcheurs automatiquement mais sur la plupart des autres smartphones, il se contente juste de vous signaler l'appel et c'est ensuite à vous de décider si vous décrochez ou pas. Donc ça reste relou.

La différence avec WinCalls, c'est donc la méthode car l'appli se base entre autres sur les préfixes de numéros réservés au démarchage par l'ARCEP (genre les 0162, 0163...) pour identifier les appels commerciaux et raccrocher directement. Tout se fait donc en local sur votre téléphone. Contrairement à d'autres applis qui aspirent votre carnet d'adresses pour alimenter leur base (coucou Truecaller), ici zéro données transmises à l'extérieur. C'est propre ! Merci Centho !

Après c'est Android uniquement donc les possesseurs d'iPhone devront se débrouiller autrement (le filtre intégré d'iOS fait à vrai dire un boulot correct, mais c'est pas le même niveau... Moi j'utilise Begone et l'appli Orange Téléphone sous iOS).

Ah et surtout c'est totalement gratuit. Le projet fonctionne uniquement grâce aux dons des utilisateurs qui en ont marre de se faire harceler et y'a même une communauté Discord pour remonter des faux positifs ou poser vos questions, bref c'est bien fichu.

Si la sécurité de votre téléphone Android vous préoccupe de manière plus globale, c'est un bon complément. Et pour ceux qui se demandent comment se débarrasser définitivement des appels indésirables, la combo c'est de s'inscrire sur Bloctel (ça filtre les démarcheurs légaux... les 3 qui restent) et d'utiliser WinCalls qui agit à un niveau différent en bloquant via les préfixes ARCEP. Les deux se complètent plutôt bien.

C'est gratuit et c'est par là . Merci à Gotcha57 pour l'info !

Un vieux smartphone Android, c'est quoi en fait ? Un bon petit quad-core, 1 ou 2 Go de RAM, et du WiFi. Soit de quoi largement servir des pages web finalement... Hé bien CompHost vous montre comment en faire un serveur en quelques commandes, sans rooter quoi que ce soi. Vous faut juste Termux et basta !

En gros, vous installez Termux depuis F-Droid sur n'importe quel Android 7+ (pour Android 5-6, y'a également une version spéciale dispo sur GitHub), vous tapez pkg update && pkg upgrade -y puis termux-setup-storage -y, et hop, vous avez un environnement Linux sur votre téléphone.

Un vieux téléphone qui sert des pages web, la classe quand même

De là, un pkg install python suivi d'un python -m http.server 8080 et votre serveur web tourne ! Pensez surtout à lancer termux-wake-lock pour éviter qu'Android tue le processus en arrière-plan, sinon votre super site web ne sera pas accessible longtemps.

Le wiki fournit aussi des fiches PDF, une cheatsheet Termux et des présentations annotées pour ceux qui voudraient par exemple animer un atelier. Bref, j'ai trouvé ça plutôt bien ficelé !

D'ailleurs, j'sais pas si vous vous souvenais, mais je vous avais déjà parlé de Far Computer qui héberge un site sur un Fairphone 2 avec PostmarketOS, sauf que CompHost a une approche un peu différente. En fait y'a pas besoin de flasher l'OS ni besoin d'avoir un PC Linux sous la main et encore moins un bootloader à déverrouiller. Vous installez une app, vous ouvrez un terminal, c'est parti. Du coup c'est bien plus accessible, même si faut quand même être prêt à taper quelques commandes.

Le truc sympa avec Termux, c'est que ça tourne dans une sandbox Android classique, donc sans root et le gestionnaire de paquets pkg donne accès à tout ce qu'il faut pour héberger ce que vous voulez comme Python, Node.js, nginx...

Et aussi bizarre que ça puisse paraitre, votre vieux Samsung de 2018 a largement les specs pour servir un site statique, une petite API ou même un wiki perso. Et vu que ces machins consomment que dalle en électricité (2-3 watts à otut casser), c'est carrément viable comme micro-serveur permanent branché dans un coin (surveillez quand même l'état de la batterie, les vieilles cellules Li-ion n'aiment pas forcement rester en charge 24/7).

Après côté limites, attention, c'est pas pour iPhone et pour les Android vraiment antiques (genre Android 4 et moins), le wiki renvoie vers PostmarketOS qui flashe une vraie distrib Linux sur le mobile... là c'est plus technique, par contre.

Ce projet CompHost est dispo sur GitLab et comme ça, au moins, plutôt que de jeter vos appareils, vous leur filez une utilité concrète. Puis ça permet de piger ce qu'est vraiment un serveur web... Et quand je vois que certains montent même des clusters Kubernetes avec des vieux smartphones , je me dit que y'a vraiment un filon à creuser côté recyclage / compostage de vieux matos.

Et qui sait, peut-être qu'un jour, Korben.info tournera sur l'un de ces trucs ?

TensorFlow Lite, c'est fini. Enfin presque car Google a rebrandé dernièrement son framework d'inférence embarquée sous le nom de LiteRT , et en a profité pour refaire pas mal de choses sous le capot.

Rassurez-vous mes petits prompts engineers (lol), le principe reste le même à savoir faire tourner des modèles de machine learning directement sur votre smartphone, votre tablette ou votre Raspberry Pi, sans envoyer vos données dans le cloud. Sauf que cette fois, y'a une nouvelle API baptisée Compiled Model qui change la donne car, en fait, l'ancien système vous obligeait à choisir manuellement votre accélérateur.

Avec ce Compiled Model, le runtime sélectionne automatiquement le meilleur accélérateur dispo, que ce soit le CPU, le GPU ou le NPU de votre appareil. Et ça gère l'exécution asynchrone et le zéro-copie côté buffers GPU... donc autant dire que côté latence, on passe de la 2CV au TGV. Bref, moins de bricolage pour les devs.

Côté plateformes, c'est plutôt copieux. Sur Android, ça exploite les NPU de Qualcomm, MediaTek et Google Tensor. Sur iOS, Metal se charge du GPU (et l'Apple Neural Engine arrive bientôt). Linux passe par WebGPU, macOS par Metal, et Windows reste en CPU pour le moment, et Google annonce même un support IoT avec Raspberry Pi. Carrément, du smartphone au micro-contrôleur ! Attention par contre, certains supports NPU sont encore marqués "à venir", donc ne vous attendez pas à tout faire tourner sur n'importe quel chipset dès demain.

D'ailleurs, le gros morceau c'est le support de l'IA générative embarquée. Avec le module LiteRT-LM, vous pouvez déployer des LLMs directement sur le téléphone. Pas de serveur, pas de connexion, tout tourne dans la poche. Bon, faut pas s'attendre à faire tourner un modèle de 70B paramètres sur un Pixel non plus, mais pour les devs qui veulent intégrer du GenAI dans leurs apps mobiles sans dépendre du cloud, c'est franchement pas mal. Et si Ollama vous permet déjà de faire tourner des modèles en local sur votre PC, ici je vous parle carrément d'appareils mobiles et d'embarqué.

Côté langages, y'a le choix : Kotlin et C++ pour la nouvelle API Compiled Model, Swift pour l'API Interpreter sur iOS, Python pour le desktop. Et si vous venez du monde PyTorch, un convertisseur dédié transforme vos modèles au format .tflite sans trop de douleur. L'ancienne API Interpreter reste dispo pour la rétrocompatibilité, mais à vrai dire, Google pousse clairement vers Compiled Model. Du coup, si vous aviez des projets TensorFlow Lite existants, la migration se fait en douceur parce que le format .tflite ne change pas.

En fait, le problème, c'est plutôt le manque de doc sur les cas tordus... et n'oubliez pas de tester vos modèles après conversion.

Pour ceux qui voudraient se lancer, tiens, y'a aussi un codelab de segmentation d'images en temps réel sur Android et une collection de modèles pré-entraînés sur Kaggle. Des apps d'exemple sont dispo sur GitHub pour pas repartir de zéro (détection d'objets, classification d'images, pose estimation...). Et si vous êtes plutôt Apple, sachez que l'IA locale sur mobile c'est clairement la tendance du moment.

Bref, si l'inférence embarquée ça vous parle, ça vaut clairement le coup d’œil !

Un développeur indépendant a porté xemu, l'émulateur Xbox open source , sur Android sous le nom de X1 BOX. L'application était d'abord vendue 8 dollars sur le Play Store, ce qui a provoqué un tollé côté communauté et chez les développeurs du projet original. Une version gratuite est depuis disponible sur GitHub.

X1 BOX : la Xbox de 2001 dans votre poche

Le projet xemu existe depuis plusieurs années sur PC et permet d'émuler la Xbox originale de 2001 avec une bonne précision. Le développeur izzy2lost, déjà connu pour PSX2 (un émulateur PS2 sur Android) et plusieurs portages de jeux N64, a repris le code source pour le faire tourner sur téléphone.

Son application X1 BOX propose une interface Android avec un lanceur de jeux, la récupération automatique des jaquettes, et des commandes tactiles qui disparaissent quand vous branchez une manette Bluetooth. Un assistant de configuration guide l'utilisateur pour pointer vers les fichiers système nécessaires.

Côté matériel, il faut compter sur un appareil costaud : Android 8.0 minimum, un processeur ARM 64 bits avec support Vulkan, et au moins 8 Go de RAM. Un Snapdragon 8 Gen 2 ou plus récent est recommandé pour que ça tourne de façon à peu près jouable. Autant dire que les petits téléphones d'entrée de gamme auront du mal à tenir la route.

8 dollars pour du code gratuit

Le problème est venu du modèle économique. izzy2lost a mis X1 BOX sur le Google Play Store à 8 dollars. Techniquement, vendre un logiciel GPL n'est pas illégal, mais dans la communauté open source, reprendre le travail des autres pour le monétiser sans collaborer, ça n’est pas très chic.

Le développeur principal de xemu a réagi sur les réseaux : « Les arnaqueurs arnaqueront toujours ». Il a aussi confirmé qu'une version officielle Android de xemu arriverait, gratuite. Depuis, izzy2lost a mis le code et l'APK en téléchargement libre sur GitHub.

L'émulation Xbox sur Android, c'est un cap qui vient d'être franchi, et ça fait plaisir. Sauf que la méthode laisse un goût un peu amer. Prendre un projet communautaire maintenu bénévolement, le packager pour Android et le vendre 8 dollars sans prévenir personne, c'est le genre de truc qui crispe à juste titre.

Le code est sous GPL, donc techniquement c'est légal, mais l'éthique, c'est autre chose. En tout cas, la bonne nouvelle c'est que le portage existe et qu'il est gratuit sur GitHub. On attend quand même la version officielle de xemu, qui devrait régler la question une bonne fois pour toutes.

Source : Time Extension

Un groupe de fabricants européens mené par l'Allemand Volla Systeme vient de lancer le projet Unified Attestation, une alternative open source à Google Play Integrity.

L'objectif : permettre aux systèmes Android alternatifs d'accéder enfin aux applications bancaires et aux services d'identité numérique européens, le tout sans dépendre de Google pour la vérification de sécurité.

Le problème avec Play Integrity

Si vous utilisez un téléphone Android classique, avec les services Google, vous ne vous en rendez très certainement pas compte. Mais pour les utilisateurs de systèmes alternatifs comme /e/OS, LineageOS ou GrapheneOS, c'est franchement infernal : Google Play Integrity, le système qui permet aux applications de vérifier la sécurité d'un appareil, bloque purement et simplement l'accès aux applications bancaires, aux portefeuilles numériques et aux services d'identité.

Seuls les appareils certifiés par Google passent les niveaux de vérification les plus élevés. Les ROM alternatives, même parfaitement sécurisées, sont exclues sans ménagement.

Ce que propose Unified Attestation

Le consortium regroupe Murena (derrière /e/OS), IODE (France), Apostrophy (Suisse) et la UBports Foundation (Allemagne), avec l'intérêt d'un fabricant européen et d'un fabricant asiatique.

Le système comprend trois briques : un service intégré au système d'exploitation pour vérifier la sécurité de l'appareil, un service de validation décentralisé qui ne dépend d'aucune autorité unique, et une suite de tests ouverte pour certifier un OS sur un modèle donné.

Ce projet est publié sous licence Apache 2.0, avec une vérification hors ligne, et surtout sans collecte d'identifiants. Jörg Wurzer, le patron de Volla Systeme, résume bien le paradoxe : quand un seul acteur du marché contrôle la vérification de sécurité, ça crée une dépendance structurelle.

C'est d'autant plus problématique quand l'acteur en question est justement celui dont on cherche à se débarrasser.

Et l'Europe dans tout ça ?

Le timing n'arrive pas comme ça, pouf, par hasard. L'Union européenne développe en ce moment l'EUDI Wallet, un portefeuille d'identité numérique qui doit permettre à chaque citoyen d'avoir ses papiers sur son téléphone.

Le problème, c'est que la version actuelle de l'application utilise Google Play Integrity pour vérifier l'appareil. Résultat : si vous êtes sur un Android alternatif, pas de carte d'identité numérique pour vous. Des développeurs ont déjà signalé le problème sur GitHub, comparant la situation à un PC qui exigerait Windows pour ouvrir un document officiel.

Des développeurs gouvernementaux scandinaves se sont d'ailleurs positionnés parmi les premiers à vouloir tester Unified Attestation.

On est là sur une initiative qui va dans le bon sens, parce que jusqu'à présent, ça reste pénible que Google soit le seul à pouvoir dire si un smartphone Android est fiable ou non.

Unified Attestation ne va pas tout changer du jour au lendemain, et convaincre les banques d'adopter un système inconnu reste le plus gros obstacle. Mais que des développeurs gouvernementaux scandinaves s'y intéressent déjà, ça envoie un bon signal.

Source : Netzwoche.ch